要約
- CVE-2022-26134 は、自己管理型の Confluence Server および Confluence Data Center における、エンティティ-Graph Navigation Language(OGNL)インジェクションの深刻な脆弱性でした。この脆弱性により、未認証のリモート攻撃者が任意のコードを実行できる状態でした。Atlassian Cloud は影響を受けませんでした。Volexity は、米国の戦没将兵追悼記念日の週末に発生した悪用を調査した後、2022 年 5 月 31 日にこのゼロデイ脆弱性を Atlassian に報告しました。Atlassian は 6 月 2 日にアドバイザリーを公開し、6 月 3 日に修正バージョンをリストアップしました。
- この迅速なベンダーの対応は、顧客のエクスポージャーを終わらせるものではありませんでした。CISA は 6 月 2 日にこの脆弱性を既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に追加し、米国連邦政府の民間機関に対し、直ちにインターネットトラフィックをブロックし、6 月 6 日までに影響を受ける製品を更新または削除するよう要求しました。インターネットの測定データや対応者の報告では、その後、広範なスキャン、複数のペイロードタイプ、ランサムウェアの試み、クリプトマイニング、ボット活動、メモリ内インプラント、Web シェルが確認されました。
- 運用上の負担は非対称的でした。Atlassian は修正ソフトウェアを一元的に作成できましたが、各顧客はすべてのインスタンスとノードを特定し、バージョンを確認し、アクセスを制限し、データをバックアップし、変更をテストし、緊急のダウンタイムを受け入れ、修正プログラムまたは暫定的な緩和策を適用し、それを検証し、サービスを復旧する必要がありました。Atlassian のインシデント固有のアドバイザリーは、クラスタ化された顧客はローリングアップグレードとして修正バージョンをインストールできないと警告しました。そのため、小規模組織や単一ノードの展開では、コラボレーションの停止か、継続的な露出のいずれかを直接選択する必要に迫られました。
- パッチ適用は必要でしたが、十分ではありませんでした。Volexity は、メモリのみのインプラント、ディスクベースの Web シェル、データベースアクセス、ログ改ざんの試みを観測しました。Atlassian の FAQ では、顧客のインスタンスが侵害されたかどうかを同社が判断できないと述べ、ローカルでのフォレンジック調査を推奨しました。バージョンアップグレードが成功すれば脆弱性は塞がれますが、盗まれた情報、認証情報、永続性、破壊された証拠が未解決のまま残る可能性があります。
- アカウンタビリティは管理能力に従うべきです。Atlassian は、セキュアな製品開発、脆弱性調査、バックポートされた修正、リリース品質、通知、製品固有の検出ガイダンスを管理していました。顧客は、資産インベントリ、公開露出、動作権限、ネットワーク境界、ログ記録、バックアップ、変更実行、インシデント対応、継続性を管理していました。この記録は、Atlassian の迅速な開示から修正までの対応を評価する裏付けとなりますが、なぜこれほど広範囲に影響を及ぼす欠陥が早期に発見されなかったのかを評価するのに十分な詳細を備えた公開された根本原因のレビューは含まれていません。また、どれだけの露出システムが実際に侵害されたかも確立されていません。
- 持続的な教訓は、単にパッチが提供されるまでの時間ではなく、信頼できるサービスが復旧するまでの時間を測定することです。活発に悪用されている知識プラットフォームの場合、クロージャには、すべてのインスタンスが修正または隔離されたこと、露出期間が調査されたこと、認証情報と接続システムが対処されたこと、継続性手順が機能したこと、復旧したプラットフォームに責任あるビジネスオーナーが存在することの証明が必要です。
1 つの脆弱性、4 つの時計
従来の脆弱性タイムラインには、開示とパッチという 2 つのエンドポイントがあります。これはベンダーの対応を測定するのに役立ちますが、顧客の作業を架空の瞬間に圧縮してしまいます。CVE-2022-26134 は、その失われた時間を可視化します。
1 つ目はベンダー時計でした。Atlassian が欠陥を再現して評価するのに十分な情報を受け取った時点から始まります。Volexity は、5 月 31 日に Atlassian に連絡したと述べています。Atlassian のセキュリティアドバイザリーには、太平洋時間で 6 月 2 日午後 1 時にリリースし、6 月 3 日午前 10 時に 7 つの修正バージョンを追加する更新が記録されています。公開された証拠によると、Atlassian は活発に悪用されている重大な脆弱性を確認し、CVE を割り当て、リスクを伝達し、サポート対象の全ブランチにバックポートを準備し、迅速に修正をリリースしました。
2 つ目は封じ込めと変更の時計でした。これは顧客ごとに個別に開始されました。警告は、行動を起こす権限を持つ担当者に届かなければなりませんでした。その担当者には、Confluence のデプロイメント、ノード、バージョン、外部経路、所有者、依存関係、サポート状況の一覧が必要でした。その後、影響を受ける各インスタンスを切断、制限、アップグレード、緩和、または削除する必要がありました。この時計は、パッケージが利用可能になったからといって停止するわけではなく、顧客が脆弱なインスタンスが到達可能な状態で残っていないことを証明できた時点でのみ停止します。
3 つ目はフォレンジック時計でした。活発な悪用は一般への開示よりも前に発生していました。そのため顧客は、修正前に攻撃者が自組織に到達していたかどうかを問う必要がありました。この調査は、保持されている Web、オペレーティングシステム、エンドポイント、ID、ネットワーク、アプリケーションの証拠に依存していました。メモリの取得、ファイルシステムの比較、認証情報のレビュー、接続システムの調査にまで拡大する可能性がありました。パッチは将来の悪用可能性を変えますが、インストール前の期間を書き換えることはできません。
4 つ目は継続性の時計でした。Confluence には通常、運用手順、プロジェクト記録、内部ナレッジ、インシデント対応手順書、意思決定の履歴が保持されています。これを制限または停止することは、データが破壊されていなくても作業を妨げる可能性がありました。復旧にはサービスを再起動する以上のことが必要でした。ユーザーには、プラットフォームが利用可能で、完全であり、安全に使用できるという確信が必要でした。もし Wiki 自体に Wiki を復旧するための手順が含まれていた場合、セキュリティ対応は循環依存を露呈する可能性がありました。
これらの時計は異なる責任を割り当てます。ベンダーは全員にとって実行可能な修正までの時間を短縮できます。しかし、顧客のシャドーインスタンスをインベントリしたり、メンテナンスをスケジュールしたり、ログを保存したり、どのビジネスプロセスが停止を許容できるかを判断したりすることはできません。顧客は自身のデプロイメントを隔離して強化できますが、ベンダーの非公開の開発記録を検査したり、同じ速度でサポートされたパッチを独自に作成したりすることはできません。各当事者が自ら管理できる時計に照らして評価されるとき、アカウンタビリティはより明確になります。
悪用と緊急パッチのタイムライン
この一連の流れは異例なほど十分に文書化されていますが、証拠には限界があります。Volexity のレポートでは 2 台の顧客サーバーとその直接的なインシデント対応について説明しています。Atlassian のアドバイザリーは製品の範囲と更新時刻を記録しています。CISA のカタログは連邦政府の修復期限を記録しています。インターネットテレメトリはスキャンまたは潜在的に露出したシステムを示しますが、検証された全世界的な被害者数ではありません。
| 日付 | イベント | アカウンタビリティ上の重要性 |
|---|---|---|
| 2022 年 5 月 26 日 | Unit 42 は後に、この日付より前から、この活動に関連する IP アドレスによる過去のスキャンが行われていたと報告しました。 | これは脅威のテレメトリであり、すべてのスキャンが CVE-2022-26134 を悪用したことや、Atlassian が当時この欠陥を知っていたことの証明ではありません。 |
| 米国戦没将兵追悼記念日の週末、5 月 28 日〜30 日 | Volexity は、インターネットに面した 2 台の Confluence サーバーで、ディスクに書き込まれた JSP Web シェルを含む不審な活動を調査しました。 | 悪用は、一般への開示前、かつ顧客がベンダーの修正を入手できる前に発生していました。 |
| 5 月 31 日 | Volexity は、再現されたゼロデイを Atlassian に報告したと述べています。 | ベンダーの対応時計が測定可能になりました。 |
| 6 月 2 日 午後 1 時 (PDT) | Atlassian は、認証されていないリモートコード実行の活発な悪用に関する緊急アドバイザリーを公開しました。当初の公開時点では、修正リリースはまだリストされていませんでした。 | 顧客は、完全なアップグレードパスが利用可能になる前に、緊急のリスク判断を迫られました。制限またはシャットダウンが防御可能な即時の制御策でした。 |
| 6 月 2 日 | CISA は CVE-2022-26134 を既知の悪用された脆弱性カタログに追加し、期限を 6 月 6 日としました。 | 米国連邦政府の民間機関は、直ちにインターネットトラフィックをブロックし、影響を受ける製品を更新または削除する必要がありました。この期限は、他の組織に対しても強力な優先順位付けのシグナルとなりました。 |
| 6 月 3 日 午前 8 時 (PDT) | Atlassian は、置き換え用の JAR ファイルとクラスファイルを用いて緩和情報を更新しました。 | 完全なアップグレードを実施できない顧客に対して、暫定的な製品固有の選択肢が提供されましたが、それでもすべての関連ノードを正しく変更する必要がありました。 |
| 6 月 3 日 午前 10 時 (PDT) | Atlassian は修正バージョン 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4、7.18.1 を追加しました。CISA は、対応するアップグレードアラートを公開しました。 | サポートされている複数のリリースブランチにわたって、サポートされた修復パスが利用可能になりました。 |
| 6 月 3 日 午後 4 時 (PDT) | Atlassian は、顧客がリストされた修正バージョンに到達するためにローリングアップグレードを使用できないことを明確にしました。 | 緊急のセキュリティ修復は、クラスターデプロイメントを含め、明示的な可用性イベントにもなりました。 |
| 6 月 3 日 | Cisco Talos は公開された概念実証を報告し、悪用が増加する可能性があると警告しました。Unit 42 は、影響を受ける可能性のあるインターネット上で可視の Confluence サーバーを 19,707 台測定し、そのうち 1,251 台がサポート終了バージョンでした。 | 公開された悪用可能性と推定される大きな攻撃対象領域により、防御可能な遅延は大幅に減少しました。これらの数字は露出の推定値であり、侵害が確認された脆弱な組織や侵害の数ではありません。 |
| 6 月 4 日 | オランダ脆弱性開示機関(Dutch Institute for Vulnerability Disclosure:DIVD)は、約 15,000 の脆弱なインスタンスの運用者に通知を開始したと発表しました。 | 外部からの通知は、自ら露出を発見できなかった所有者を支援し、インベントリ問題の規模を明らかにしました。 |
| 6 月 6 日 | CISA の連邦政府向け期限が到来しました。GreyNoise は、UTC 午後 7 時までに 850 を超える一意の送信元 IP アドレスが悪用を試みていると報告しました。 | 期限までに、悪用の試みは広範かつ多様なものとなりました。標的型の関心の証拠を待つことは、もはや合理的な制御戦略ではありませんでした。 |
| 6 月 6 日〜7 日 | DIVD は、6 月 6 日に約 1,150 件、6 月 7 日に 800 件以上の追加通知を記録しました。 | パッチが公開された後も発見は続きました。これらの数値は、再スキャンや重複排除に関する詳細な情報なしに、一意の被害者数として単純に合計すべきではありません。 |
| 6 月 10 日 | Atlassian は、Confluence 6.0.0 以降向けの緩和セクションを拡張しました。 | ガイダンスは初動の緊急対応後も進化し続け、特に単純なサポート対象アップグレードパスにない組織にとって有益でした。 |
| 6 月 16 日 | Sophos は、ボット、クリプトマイナー、Cobalt Strike、Web シェル、ランサムウェアのペイロードを配信する自動化された悪用を報告しました。観測された 2 件の Windows インシデントでは、Cerber ランサムウェアの展開が試みられていました。 | この脆弱性は、当初観測された単一の攻撃者および手法を超えて、金銭目的の一般的な活動へと拡大しました。 |
| 2023 年 8 月 | CISA 主導の合同アドバイザリーは、2022 年に最も日常的に悪用された 12 の脆弱性の中に CVE-2022-26134 を挙げました。 | この問題は、短期的な開示後の急増にとどまらず、その年の持続的な悪用記録の一部となりました。 |
NVD エントリは、この問題に CVSS 3.1 基本スコア 9.8 を付与し、バージョン 1.3.0 以降から各修正ブランチに至るまでの影響範囲を特定しています。また、CISA カタログへの掲載措置と日付も転載しています。これらのバージョン範囲の広さは、多くのリリースラインで修正が必要だったことを示しています。それ自体からは、この欠陥がいつ導入されたか、いつ最初に実際に悪用可能になったか、誰かが最初に発見したのはいつか、あるいは Atlassian が事前に知っていたかどうかを立証することはできません。
この区別は、公正なアカウンタビリティにとって重要です。影響を受けるバージョンの範囲が長いことは、修復負担が大きく、製品の系譜が深いことを示す可能性はありますが、意図的な隠蔽や特定のセキュア開発の失敗の証拠ではありません。そのような判断には、公開記録では提供されていない証拠が必要です。
CVE-2022-26134 が許容したもの
Atlassian は、CVE-2022-26134 を、認証されていないユーザーが Confluence Server または Data Center インスタンス上で任意のコードを実行できる OGNL インジェクション脆弱性と説明しました。実用的な観点では、HTTP リクエスト内で攻撃者が制御する入力が式として評価され、Confluence プロセスのセキュリティコンテキストでコマンドを実行するために使用される可能性がありました。有効なユーザーアカウント、盗まれたセッション、または従業員の操作は必要ありませんでした。
したがって、深刻度は部分的にデプロイメントに依存していました。インターネットから到達可能であることで、インスタンスは広範なスキャンに対して発見可能になりました。動作アカウントによって、ホスト上でコマンドが何を実行できるかが決まりました。ネットワークアクセスと保存された認証情報は、水平移動を形作りました。Confluence とそのデータベース内の情報は、機密性への影響を形作りました。監視とログの保持は、後日悪用を証明できるかどうかを左右しました。
Volexity のインシデントレスポンス分析はその連鎖を示しています。対応者は、侵害された Confluence プロセスが root として実行されていたことを発見し、これによりコマンドは完全なホスト権限を持っていました。彼らはメモリ内の BEHINDER インプラント、China Chopper Web シェル、別のアップロードシェル、偵察、ローカル Confluence データベーステーブルへのアクセス、Web ログの改ざん試行を特定しました。Volexity は、Confluence を root として実行しないよう明示的に推奨しました。製品の脆弱性が侵入を可能にし、顧客側の権限とアーキテクチャは、侵入が意味するものを拡大する可能性がありました。
メモリ内コンポーネントは、クロージャの証拠として特に重要です。新しく作成されたファイルのみを検索した対応者は、メモリ内に存在するインプラントを見逃す可能性があります。サービスを再起動するとそのコンポーネントは削除されるかもしれませんが、ディスクに書き込まれた 2 つ目の Web シェル、逆方向のデータ流出を削除したり、認証情報が秘密のままであることを証明したりすることはできません。Volexity はまた、インプラントとの対話に使用されるリクエストが、単独では正規のトラフィックに似ている可能性があると指摘しました。検出には、単一の普遍的なシグネチャではなく、コンテキストと一連の証拠が必要でした。
独立した観測結果は、悪用の手法がどれほど急速に多様化したかを示しています。GreyNoiseは、偵察、リバースシェル、ボットネット、クリプトマイニング、管理者ユーザー作成の試み、破壊的なコマンド、難読化のペイロードを観測しました。Cisco Talosは継続的な悪用を報告し、ネットワーク検出カバレッジを公開しました。Sophosは、自動化された後続ペイロードとランサムウェアの試行を観測しました。Unit 42は、顧客のテレメトリにおいて Cerber ランサムウェアの試みに関連する悪用の成功を報告しました。
これらの観測結果を単一の普遍的な攻撃にまとめるべきではありません。Volexity が特定した最初の攻撃者、自動化されたクリプトマイニングの運用者、ボットネットの配布者、ランサムウェアの運用者は、異なる目的を持っていました。Volexity がリストした IP アドレスを発見しなかった組織も、別の誰かに攻撃された可能性はありました。既知の送信元アドレスをブロックすることは一時的な摩擦策としては有用ですが、修復や調査の代わりにはなりません。
Atlassian の対応は迅速だったが、製品記録は不完全
Volexity が報告した 5 月 31 日の通知から計算すると、Atlassian は約 2 日でアドバイザリーを公開し、翌日には修正リリースを公開しました。このアドバイザリーは更新履歴を保持し、影響を受ける製品を明示し、Cloud と自己管理型デプロイメントを区別し、修正バージョンをリストし、暫定的なファイル置き換え手順を提供し、ローリングアップグレードの制限について警告し、最新の長期サポートリリースへ誘導しました。これらは緊急対応における実質的な強みです。
このスピードが重要なのは、ベンダーの分析が行われている間、顧客はサポートされた修正を入手できない状態が続くからです。7 つのリリースを作成することは、ソースコードの 1 行を変更する以上の作業です。ベンダーは欠陥を特定し、修正をテストし、影響を受けるブランチを特定し、成果物をビルドして署名し、リリース情報を準備し、サポートを調整し、二次的な停止や脆弱性を生じさせないようにしなければなりません。公開記録は、Atlassian がこれを緊急事態として扱ったという結論を裏付けています。
Atlassian はまた、CVE-2022-26134 FAQを公開しました。そこでは、Cloud は脆弱ではないこと、悪用が未認証であるため SSO は自己管理型インスタンスを保護しないこと、インターネットに面していないシステムでもアップグレードすべきであること、修正バージョンのみが保護を保証できること、が明確にされました。顧客に対して、ファイルシステムのアーティファクトをバックアップと比較し、社内のセキュリティチームやフォレンジック専門家に連絡するよう助言しました。このガイダンスは、脆弱性の修復と侵害評価を正しく分離していました。
通知はチャネルに依存していました。FAQ では、Atlassian が関連する製品アラートメーリングリストに緊急アドバイザリーを送信したと述べています。同社の現在のセキュリティアドバイザリー公開ポリシーも同様に、公開投稿とメーリングリストによる通知を説明しています。メーリングリストは情報を大規模に配信できますが、現在の運用者がメッセージを受信し、認識し、対応することを保証するものではありません。顧客記録には購入者や元管理者が残っている場合があります。マネージドサービスの責任は曖昧な場合があります。アドバイザリーは顧客ガバナンスへのインプットであり、修復が行われた証拠ではありません。
しかし、予防に関する公開情報はより少なくなっています。Atlassian のFY2022 セキュリティインシデントレポートでは、CVE-2022-26134 対応の調整をレベル 1 インシデントに分類し、インターネットに面したインスタンスでの活発な悪用に言及しています。アドバイザリーと公開された問題は脆弱性と修復を説明していますが、関連するコードパスの完全な根本原因分析を提供せず、既存の開発またはテスト管理策がなぜそれを検出できなかったのかを説明せず、その後に実施された管理策の変更を特定せず、それらの変更の独立した検証を公開していません。
この欠如は、内部レビューが行われなかったことを証明するものではありません。それは、外部の利害関係者がパッチ対応と同じ精度で予防的対策を評価できないことを意味します。強力なインシデント後の記録であれば、少なくとも 5 つの問いを分離するでしょう:どのコードの動作がインジェクションパスを作成したのか;それがいつメンテナンス対象ブランチに入ったのか;どのレビューまたはテストがそれを検出すべきだったのか;なぜ検出されなかったのか;そして、現在同等の式言語パスをテストするためにどのような測定可能な変更が行われているのか。この説明がなければ、一般の人々は製品学習の深さよりも対応速度をより確信を持って評価できます。
したがって、責任ある評価は混合したものになります。Atlassian は、迅速なトリアージ、透明性のあるアドバイザリー更新、広範なサポート付き修正、明確な顧客ガイダンスについて、証拠に基づく評価に値します。しかし、公開記録だけでは、基盤となるセキュア開発の管理策が合理的であったか、不十分であったか、あるいは事象後に実質的に改善されたかを判断するのに十分ではありません。発見後のスピードは重要なアカウンタビリティの証拠ですが、予防策の説明の代わりにはなりません。
リリースされたパッチは、修復された顧客エステートではない
ソフトウェアベンダーは、修正が出荷されたと報告することがよくあります。顧客は、インストールが成功するとチケットをクローズしたと報告することがよくあります。どちらのイベントも、組織全体でリスクが終了したことを証明するものではありません。
第一に、顧客は分母を見つけなければなりません。これには、本番、ディザスタリカバリ、ステージング、テスト、開発、移行、トレーニング、買収した会社、請負業者が管理するもの、一時的に停止されているインスタンスが含まれます。すべての Data Center ノードとすべてのリバースプロキシルートが含まれます。DIVD のケース記録は、アドバイザリーとパッチの後も通知が継続したことから、その実態を明らかにしています。外部の研究者は、所有者が修復していないか、または露出に気づいていなかった脆弱なシステムを依然として特定できたのです。
第二に、顧客はバージョンとサポート状況を確認しなければなりません。Atlassian の影響を受ける範囲は、サポート対象のリリースと古いリリースにわたっていました。Unit 42 が 6 月 3 日に推定した 1,251 台のインターネットに露出したサポート終了サーバーは、明確なガバナンスの問題を表していました。サポートされていない製品には、直接的で低リスクのアップグレードパスがない場合があります。そのオペレーティングシステム、Java ランタイム、データベース、アプリ、またはカスタムテーマも古い可能性があります。単一のパッチに見えるものが、複数コンポーネントの移行になる場合があります。
第三に、インストールは関連するすべてのコンポーネントに適用されなければなりません。暫定的な緩和策では、顧客は Confluence を停止し、特定の JAR ファイルまたはクラスファイルを置き換え、正しい所有権とアクセス権を保持し、サービスを再起動し、このプロセスをすべてのクラスターノードで繰り返す必要がありました。インストールディレクトリに残されたコピーされた古い JAR ファイルは、意図した変更を無効にする可能性がありました。したがって、運用上の証拠には、管理者による「回避策を試みた」という声明だけでなく、成果物の同一性とノードの網羅性を含める必要がありました。
第四に、接続性を再評価する必要があります。内部にあると考えられていたサーバーでも、VPN、パートナー経路、リモートアクセスゲートウェイ、アプリケーションリンク、クラウドロードバランサー、忘れられた DNS レコード、または一時的なトラブルシューティングルールを介して到達可能である可能性があります。Atlassian の FAQ は、一般的なインターネットアクセスの欠如は一般的なインターネットから発信される攻撃を否定するが、アクセス経路は様々であるため、依然としてアップグレードを推奨すると慎重に述べていました。「内部」とは、永続的な資産特性ではなく、テストすべき仮説です。
第五に、修復には検証が必要です。NIST のエンタープライズパッチ管理計画ガイドは、プロセスを、更新の特定、優先順位付け、取得、インストール、検証を含むものと定義しています。検証は可能な限り変更作業から独立しているべきです:新たな認証済みインベントリ、パッケージまたはファイルハッシュの検査、アプリケーションのヘルスチェック、本番環境に影響を与えない脆弱性テスト、および検証が完了するまで古い経路が閉じたままであることのネットワーク確認。
重要な指標は、発見されたインスタンスのうちパッチが適用された割合ではありません。それは、責任あるエステートのうち、脆弱でない、隔離された、または削除された状態にあるものの割合です。資産インベントリが不完全な場合、パッチ適用率 100%のダッシュボードは、数学的には正しいかもしれませんが、運用上は誤りです。分母自体に保証が必要です。
パッチは、信頼を確立せずに侵入を阻止できる
Atlassian の FAQ は、中心的なフォレンジックの限界を率直に述べています:Atlassian は、個々の顧客インスタンスが侵害されたかどうかを確認できませんでした。同社は、社内のセキュリティ担当者または専門企業の関与を推奨し、攻撃者がシステムログ、監査ログ、またはアクセスログを改ざんする可能性があると警告しました。この割り当ては回避的ではありませんでした。決定的な証拠は顧客環境に存在していました。
したがって、有用な対応は 2 つのワークストリームを分離しました。修復ワークストリームは、インスタンスを隔離し、修正バージョンまたはサポートされた緩和策をインストールし、結果を検証することで、新たな悪用を防止しました。インシデントワークストリームは、過去の露出期間を調査し、その結果に対処しました。これらを並行して実行することで、封じ込めよりもフォレンジックの完全性を優先しなければならないという危険な仮定を避けつつ、後で結論を導き出せるだけの十分な証拠を保存しました。
調査期間は 6 月 2 日から開始できませんでした。Volexity は既にその前の週末に悪用を観測しており、Unit 42 は 5 月 26 日までさかのぼる関連インフラからのスキャンを発見していました。慎重な組織は、自組織で入手可能な最も早い信頼できる証拠から開始し、指標、欠落しているログ、または異常な動作によって正当化される場合は、さらに遡って拡大します。世界的な調査日付を、自組織の侵害の証明として扱うべきではありません。
証拠収集は、観測された手法に適合する必要がありました。関連する情報源には、リバースプロキシと Web アクセスログ、Confluence アプリケーションログ、認証および管理者イベント、エンドポイントテレメトリ、プロセス作成、実行可能な場合はメモリ、ファイル整合性、スケジュールされたタスク、サービスの変更、送信 DNS およびネットワークトラフィック、クラウドフローログ、ID プロバイダーイベント、データベースアクセス、特権認証情報の使用が含まれます。リモートまたは保護されたログは、コマンド実行権限を持つ攻撃者がローカルファイルを改ざんする可能性があるため、特に価値がありました。
CISA の中小企業向けログ取得ガイダンスは、ログを不正アクセスや削除から保護し、ポリシーに従って保持し、テクノロジー、コミュニケーション、法務、継続性にわたってインシデントの役割を割り当てるよう助言しています。CVE-2022-26134 は、これらが相互に関連する管理策である理由を示しています。ログの保持は、単なるセキュリティ運用の費用ではなく、後日、経営陣が「証拠は見つからなかった」と「証拠が保持されていなかった」を区別できるかどうかを決定します。
侵害が発見された場合、または合理的に除外できない場合は、信頼できるメディアからの再構築が、未知のホストをクリーニングするよりも安全な場合があります。Confluence サービスで利用可能な認証情報、設定に保存されているもの、データベースに使用されているもの、管理者が保持しているもの、または Wiki コンテンツで露出しているものは、ローテーションが必要になる場合があります。接続されたシステムのレビューが必要になる可能性があります。バックアップは、整合性と、侵害された状態を保存している可能性についてチェックする必要がありました。データ露出分析では、インスタンスに含まれているものと、サービスアカウントが到達できるものを考慮する必要がありました。
これが、「24 時間以内にパッチを適用」と「24 時間以内に復旧」が異なる主張である理由です。前者はソフトウェアの状態によって証明されるかもしれません。後者は、攻撃者の活動、データの整合性、ID、接続システム、およびビジネス運用に関する証拠を必要とします。組織は、安全にオフライン、脆弱な状態でオンライン、パッチ適用済みだが信頼できない状態、または復旧して信頼できる状態、という状態があり得ます。責任あるダッシュボードは、これらの状態を赤と緑に単純化するのではなく、保持します。
緊急パッチ適用は可用性インシデントでもあった
Atlassian のインシデント固有のアドバイザリーは、クラスタを実行している顧客はダウンタイムなしで修正バージョンにアップグレードできないと述べました。この警告は、Data Center アーキテクチャが常に重要な更新をシームレスなローリング変更に変えるという慰めの仮定を打ち砕きます。より安全なソフトウェア状態には中断が必要でした。
Atlassian の一般的なローリングアップグレードのドキュメントでは、ゼロダウンタイムの適格性はソースバージョンとターゲットバージョンに依存し、マルチノードの Data Center クラスタが必要であり、別のノードがオフラインの間、アクティブなノードに十分な容量が必要であると説明されています。また、バックアップ、アップグレード前チェック、ステージング環境を推奨しています。これらは健全なプラクティスですが、ゼロデイはそれらを実行するための時間を圧縮します。
シングルノードの顧客は、トラフィックを引き継ぐ 2 台目の Confluence ノードを持っていませんでした。一部の組織は、ユーザーの前に静的なメンテナンスページや読み取り専用のエクスポートを配置できましたが、準備された代替手段を持たない組織もありました。自動化を構築し、アップグレードをリハーサルし、バックアップをテストし、依存関係を文書化していた組織は、より迅速に、より不確実性を少なくして動くことができました。メンテナンスを時折の技術的な作業として扱っていた組織は、緊急時に手順を発見しなければなりませんでした。
選択は、抽象的な「セキュリティか可用性か」ではありませんでした。露出を継続することも、攻撃者が破壊的なコマンド、ボットソフトウェア、クリプトマイナー、ランサムウェアを展開していたため、可用性を脅かしました。計画されたダウンタイムは、境界が定められ管理された中断を課しました。封じ込められていない侵害は、より長く予測不可能な中断を生み出す可能性がありました。管理の目的は、どのような犠牲を払ってでもステータスページを緑に保つことではなく、信頼できるサービスへの最も被害の少ない経路を選択することでした。
Atlassian のアップグレードハブと Data Center ガイダンスは、バックアップ、互換性、設定変更、アップグレード後のチェックを強調しています。バックアップとリストアのドキュメントは、「バックアップを取る」ということが完全な継続性管理策ではない理由も示しています。異なるバックアップ方法には異なる目的があり、バックアップジョブは失敗する可能性があり、リストアは現在のデータを上書きする可能性があり、再起動はタスクを中断する可能性があります。有用な復旧計画は、ファイル数を数えるのではなく、リストアをテストします。
知識プラットフォームの場合、継続性の設計には、オフラインの最小限の運用セットを含めるべきです:インシデント連絡先、ID およびインフラストラクチャの復旧手順、ネットワーク図、ベンダーアカウントの詳細、意思決定権限者、重要な顧客手順、Confluence 自体を復旧するための手順。このコピーは保護され、最新であり、影響を受ける ID やアプリケーションパスなしでアクセス可能でなければなりません。すべてのページをエクスポートする必要はなく、隔離を通じて運用するために必要な少数のセットを保存すれば十分です。
なぜ中小企業は不均衡な継続性負担を負うのか
この脆弱性は、同じ影響を受けるバージョンを実行している多国籍企業と小規模企業にとって技術的には同一でした。対応を吸収する能力は同一ではありませんでした。
大企業は、24 時間のセキュリティオペレーションセンター、構成データベース、ステージングクラスタ、インフラ自動化、契約しているインシデントレスポンス会社、アプリケーション所有者、ダウンタイムを承認する権限を持つ幹部を持っているかもしれません。失敗する可能性はありますが、専門的な能力を有しています。小規模組織では、管理者が 1 人、アウトソーシングされたプロバイダー、単一の本番ノード、限られたログ保持、テスト環境なし、そして主に何かが壊れたときにメンテナンスされる Confluence インスタンスという状況かもしれません。
この違いは、対応の行列を生み出します。同じ人物が、アドバイザリーを読み、真正性を確認し、経営陣に連絡し、サーバーを見つけ、バックアップを取り、アップグレードをテストし、ユーザーに通知し、それを適用し、アプリのトラブルシューティングを行い、ログを検査し、プロバイダーと話し、アクセスを復旧する必要があるかもしれません。各ステップが個別に合理的である一方で、その順序は公開された悪用期間を超える可能性があります。パッチ時間の非対称性は、部分的には専門知識と調整の非対称性です。
NCSC 中小企業向け対応と復旧ガイドは、準備、特定、解決、報告、学習を中心に構築されています。ここでの関連性は実践的です:準備により、意思決定は危機の外に移動します。中小企業は、深刻な悪用が行われている脆弱性に対してインターネットの隔離を事前に承認し、サプライヤーの連絡先を最新の状態に保ち、インシデント前にフォレンジックプロバイダーを特定し、オフラインのラン abook を維持し、誰が一時的な停止を受け入れることができるかを定義することができます。これらの管理策のいずれもエンタープライズ規模を必要としません。
NIST のパッチ適用プラクティスガイドは、構造的な対立を直接認めています:パッチ適用はリソース集約的であり、システムの可用性を低下させる可能性があります。これは、インベントリ、緊急緩和、隔離、テスト、追跡、検証を同じケイパビリティの一部として扱います。中小企業にとって、これはミニチュアのエンタープライズプログラムではなく、控えめでありながら完全な設計を示唆しています。
実用的な中小企業向けの管理策セットには以下が含まれます:
- 1 つの責任ある台帳。インスタンスの URL、デプロイメントの場所、製品とバージョン、ライセンスとサポート状況、管理者、ビジネスオーナー、公開経路、認証依存関係、データベース、バックアップ方法、プロバイダーの連絡先を記録します。サービスが変更されるたびにレビューします。
- 事前承認された緊急閾値。活発な悪用と、露出したインスタンスでの未認証リモートコード実行は、通常の変更会議を待たずに、即時の制限またはシャットダウンを承認する必要があります。
- テスト済みのメンテナンスパス。インストールメディア、設定記録、アプリ互換性情報、バックアップ手順、シンプルな検証チェックリストを準備しておきます。少なくとも 1 回のアップグレードとリストアをリハーサルします。
- 代替ナレッジチャネル。インシデント対応と重要なサービス提供に必要な少数の文書の保護されたオフラインまたは別にホストされたコピーを維持します。
- 時計付きのプロバイダー契約。MSP がサービスを運用している場合、誰がアドバイザリーを監視するか、誰がそれを切断できるか、対応時間と通知時間、証拠保持、時間外対応、緊急作業の費用負担者を定義します。
- リモート証拠。重要なログをアプリケーションホストから離れた場所に送信し、開示前の期間を調査するのに十分な履歴を保持します。誰がそれらを取得できるかを把握します。
- 再開判断者。サービスが信頼できると宣言できる人物を指名し、必要な証拠を定義します:修正バージョン、すべてのノードが網羅されていること、ヘルスチェック合格、露出がレビューされたこと、合意されたレベルまで侵害評価が完了したこと、必要に応じて認証情報が対処されたこと。
現在のNCSC 脆弱性管理ガイダンスは、大規模組織と同様に中小企業にも向けられています。これは、デフォルトで更新すること、活発な悪用への対応、資産の特定、更新しない決定に対する上級管理職の所有権、および検証を重視しています。Confluence の事象後に更新されましたが、「技術チームはリスクについて助言できるが、露出したままにする決定はビジネス上の決定であり、そのように可視化されるべきである」という永続的なガバナンスモデルを捉えています。
中小企業の制約は、包括的な言い訳になるべきではありません。過剰な権限で動作するインターネットに面したサポートされていない Wiki は、人員数に関係なく回避可能なリスクです。しかし、アカウンタビリティは、救済策を割り当てる際に能力を認識すべきです。ベンダーは、明確なバージョンマトリックス、機械可読なアドバイザリー、検証されたアーティファクトハッシュ、簡潔な隔離手順、サポートされたホットフィックス、検出パッケージ、プロバイダー対応のコミュニケーションによって、顧客の負担を軽減できます。マーケットプレイスやマネージドサービスパートナーは、アプリの互換性とアップグレードの所有権を明示的にすることができます。より良い上流設計は、より平等な下流の安全性を生み出します。
クラウド侵害のないクラウド依存
CVE-2022-26134 は Atlassian Cloud に影響を与えませんでした。アドバイザリーと FAQ の両方が、ホスト型 Cloud インスタンスは保護されており、顧客による対応は不要であったと述べています。この事実は中心的なものでなければなりません。このイベントを一般的な「Confluence 侵害」と表現することは、Atlassian が脆弱ではなかったとしているサービスを誤って含めることになります。
それでもなお、このイベントは 2 つの理由からクラウドサービス依存性分析に属します。第一に、Atlassian は、ホスト型と自己管理型の両方のデリバリーモデルにまたがる製品を提供するグローバルなコラボレーションプラットフォームプロバイダーです。組織は、運用管理が異なるにもかかわらず、同じベンダーのエコシステム、ワークフロー、アプリマーケットプレイス、ID リンク、知識プラクティスに依存しています。第二に、Cloud と自己管理型の間の選択は、それ自体が管理の割り当てです。
Atlassian Cloud では、ベンダーはホスト型エステートを一元的にパッチでき、顧客は製品バージョンのアップグレードをスケジュールする必要がありません。顧客は、その運用上の集中と引き換えに、一部のインフラストラクチャ管理を放棄します。Server および Data Center では、顧客はホスティング、ネットワーク露出、メンテナンスのタイミング、ログ、および多くの統合を管理しますが、実行の負担も負います。「共有責任」は固定された割合ではなく、サービスモデルによって変わります。
Atlassian の現在のConfluence セキュリティ概要では、Data Center のセキュリティは共有であり、顧客をセキュリティチェックリストに導いています。これは方向的には正しいですが、この言葉が有用になるのは、具体的なアクションと証拠に変換された場合のみです。ベンダーは製品コードを修正します。顧客は修正を適用し、デプロイメントを保護します。ベンダーは正確な侵害ガイダンスを提供します。顧客はローカルの証拠を保持し分析します。ベンダーは、顧客のサーバーがクリーンであることを安全に約束することはできません。顧客は、ベンダーの開発管理策が再発を防止したと独自に証明することはできません。
ホスト型サービスへの移行は、緊急パッチの実行を削減できますが、普遍的な回答ではありません。規制、データ所在地、統合、パフォーマンス、カスタマイズ、または管理要件が自己管理を支持する場合があります。クラウドはまた、集中リスクとプロバイダー可用性依存性を生み出します。ガバナンスの問いは、どのモデルが道徳的に優れているかではありません。組織が選択したモデルに伴う責任に資金を提供したかどうかです。
責任は固有の管理と証拠に従うべきである
アカウンタビリティモデルは、2 つの容易な失敗を避けるべきです。1 つ目は、欠陥が自社のコードにあったとして、すべてをベンダーに帰属させることです。2 つ目は、パッチが存在したため、公開後のすべてを顧客に帰属させることです。どちらも重要な管理策を消し去ります。
| 管理に関する問い | Atlassian の責任 | 顧客の責任 | 存在すべき証拠 |
|---|---|---|---|
| 欠陥を防止できたか、または早期に発見できたか? | セキュアな設計、コードレビュー、テスト、依存関係とフレームワークの専門知識、脆弱性の受付、類似のインジェクション欠陥からの学習。 | 調達デューデリジェンスと設定では、隠れた製品欠陥を修復できない。 | ベンダーの根本原因レビュー、テストの追加、管理責任者、検証結果。 |
| 警告は実行可能だったか? | 正確な範囲、深刻度、影響を受けるバージョンと修正バージョン、安全なアーティファクト、更新履歴、緩和策、配信チャネル、サポート能力。 | 最新の連絡先を維持し、アドバイザリーと KEV シグナルを監視し、受信を確認し、所有権のある緊急レコードを開く。 | アドバイザリーのタイムスタンプ、メッセージの配信、確認、所有者の割り当て、エスカレーション。 |
| すべてのデプロイメントが発見されたか? | 発見可能な製品識別子と機械可読な影響バージョンデータを提供する。 | 完全なサービス、ソフトウェア、ノード、ルート、所有者、サポートのインベントリを維持する。 | 構成、ネットワーク、クラウド、ライセンス、DNS、外部検出ソースから照合されたインベントリ。 |
| 露出は封じ込められたか? | 正確な制限と緩和オプションを公開する。 | リスクに応じて、インターネット経路をブロックし、隔離、無効化、緩和、アップグレード、または削除する。 | ファイアウォールとプロキシの変更、サービス状態、変更承認、ノードごとのタイムスタンプ。 |
| 修正は安全かつ完全だったか? | 修正リリースをビルド、テスト、署名、バックポート、文書化、サポートする。 | 可能な場合はバックアップとテストを行い、全ノードにインストールし、設定を保持し、独立して検証する。 | アーティファクトハッシュ、デプロイメントログ、バージョン出力、ヘルスチェック、脆弱性検証、例外レジスタ。 |
| 侵害は評価されたか? | 製品固有の動作、指標、ログの場所、既知の制限、サポートエスカレーションを公開する。 | ローカルの証拠を保存し、調査範囲を定義し、ハンティングし、接続システムのスコープを定め、露出した認証情報をローテーションし、必要に応じて再構築し、報告義務を果たす。 | 証拠マニフェスト、タイムソース、クエリ結果、フォレンジックの結論、認証情報の対応、法的な決定。 |
| 重要な業務は継続したか? | 緊急手順を簡潔にし、回避可能なアップグレードの複雑さを最小限に抑える。 | テスト済みの代替手段、オフラインラン abook、コミュニケーション、復旧目標、復旧権限者を維持する。 | 演習記録、代替手段の発動、停止時間、復旧テスト、ビジネスオーナーの承認。 |
| 再発は減少したか? | 管理策の改善を公開し、関連する製品パスを監視する。 | サポートされていないインスタンスを削除し、公開露出と権限を減らし、ログを改善し、メンテナンスに資金を提供する。 | 所有者、期限、テスト、独立したレビューを含む修復計画。 |
この割り当ては、顧客がベンダーからの証拠を必要とする理由も説明します。「直ちにアップグレードせよ」というアドバイザリーは行動を起こすには十分ですが、製品ガバナンスを評価するには不十分です。エンタープライズバイヤーや公的機関は、機密または公開の事後報告、セキュア開発の変更、独立した保証、検証された報告からサポートされた修正リリースまでの時間を求めることが合理的にできます。小規模なバイヤーが個別に持つ影響力はほとんどないため、標準的なベンダーの透明性には分配的な価値があります。
一方、ベンダーは、サポートやインシデント分析が開始される際に、顧客からの証拠を必要とします。正確なバージョン、ノード数、トポロジ、ログ、タイムスタンプ、変更、プラグイン、観測された指標は、製品の欠陥とデプロイメント固有の影響を区別することができます。「パッチを適用した」という曖昧な主張では、いずれの側もリスクを再構築できません。
責任は、希薄化することなく共有され得ます。製品の欠陥は、顧客が Confluence を root として実行していたとしても、Atlassian の責任のままです。root 権限は、攻撃者が Atlassian のコードを介して侵入したとしても、顧客の責任のままです。パッチ適用が遅れたからといって欠陥が消えるわけではなく、迅速な修正が安全でない露出を消し去るわけでもありません。各管理策は同じ損失に寄与しながらも、異なる所有者を持ち得ます。
信頼できるサービス復旧のための証拠パッケージ
取締役会や中小企業の所有者にとって最も有用な成果物は、膨大な技術レポートではありません。それは、懐疑的な読者が警告からクロージャまでの意思決定を追跡できる、コンパクトな証拠パッケージです。
このパッケージは、スコープステートメントから始めるべきです。ここでは、CVE-2022-26134、影響を受ける製品ファミリー、使用された信頼できるアドバイザリーバージョン、組織が最初に通知を受け取った日付、対応責任者を明示します。本番、非本番、停止中のシステムを含むすべての既知のインスタンスとノードをリストし、そのリストが DNS、ロードバランサー、クラウドアカウント、ライセンス、外部スキャン、設定記録、プロバイダーデータとどのように照合されたかを説明します。
次に、封じ込め記録が続きます。各インスタンスについて、インターネットトラフィックがブロックされたか、サービスが停止されたか、アクセスが制限されたか、暫定的な緩和策がインストールされたか、修正リリースが展開されたか、またはシステムが削除されたかと、その時刻を示します。誰が運用継続期間を承認したのか、どのような補償的統制が存在したのかを記録します。例外には、有効期限とエスカレーションパスが必要です。
変更記録は、変更前のバージョン、ターゲットバージョン、バックアップ結果、互換性チェック、メンテナンス開始時刻と終了時刻、成果物の出所、変更されたすべてのノード、再適用された設定、エラー、ロールバックの決定、変更後のヘルスチェックを取得します。Atlassian が修正リリースはローリングアップグレードの対象ではないと警告したため、記録では、計画された停止とユーザーに伝えられた内容も示すべきです。
検証記録は、運用者の記憶とは独立した方法で取得されるべきです。現在のバージョン出力、パッケージ ID、提供された場合はチェックサム、認証されたソフトウェアインベントリ、安全な脆弱性検証、外部からの到達可能性テスト、古いノードやイメージがサービスに戻らなかったことの確認を含めることができます。クロージャを承認する人物は、分母と結果を確認できるべきです。
侵害評価は、調査期間、証拠ソース、保持のギャップ、クロック同期、テストされた指標と動作、調査結果、確信度を述べます。「悪用の証拠は見つからなかった」と「侵害されていない」を区別します。ログが妥当な攻撃期間の後に始まった場合、その制限は脚注として隠すのではなく、管理上の事実です。侵害が発見された場合、パッケージは封じ込め、認証情報ローテーション、接続システムのレビュー、通知、再構築、復旧の決定にリンクします。
継続性記録は、どのビジネス機能がアクセスを失ったか、どの代替手段が作動したか、重要な手順が利用可能なままだったか、実際のダウンタイム、復旧後に必要となったデータ調整、およびビジネスオーナーの承認を特定します。技術的な稼働時間だけでは、スタッフが運用に必要な情報にアクセスできなかった場合には不十分です。
最後に、再発防止計画は、期限付きの改善を割り当てます。典型的なアクションとしては、サポートされていないリリースの廃止、サービスを管理されたアクセスの背後に移動すること、Confluence が不必要な権限で実行されないことを確実にすること、ログの集中化、保持期間の延長、リストアのテスト、ステージングパスの維持、ベンダー連絡先の更新、MSP の義務の明確化、オフラインラン abook の作成、選択したホスティングモデルが依然として組織の能力に適合しているかどうかの見直しが含まれます。
このパッケージは、後知恵バイアスに対する防御でもあります。各決定時点で何がわかっていたかを記録します。6 月 2 日には、顧客は活発な悪用を知っていましたが、修正バージョンはまだリストアップされていませんでした。直ちに隔離する決定は、6 月 3 日以降に待つ決定とは異なる評価が可能です。良い記録は、その違いを保持します。
非対称性を隠すのではなく、明らかにする指標
一般的な「平均パッチ適用時間」という指標は、脆弱性レコードがツールに入った時点で開始し、インストールが報告された時点で終了します。このインシデントにおいて最もアカウンタビリティを伴った部分を見落とします。
より良いセットには以下が含まれます:
- ベンダーの報告からアドバイザリーまでの時間:検証された外部報告から、実行可能な公的警告までの時間。サポートされた修正が提供されるまでの時間は別途計測。
- 通知から所有者までの時間:権威ある公開から、技術的および事業上の所有者による確認までの時間。
- インベントリ照合時間:通知から、すべてのインスタンス、ノード、ルートの防御可能なリストができるまでの時間。
- 封じ込めまでの時間:通知から、すべての既知の露出したインスタンスの隔離または効果的な緩和までの時間。
- 検証済み修復までの時間:通知から、責任あるエステートが修正、隔離、または削除されたという独立した証明が得られるまでの時間。
- 侵害決定までの時間:通知から、明示された証拠の限界を伴う文書化された結論が出るまでの時間。
- 信頼できる復旧までの時間:封じ込めから、ビジネスオーナーによる安全で使用可能なサービスの承認までの時間。
- 未把握のエステート:所有者と検証済みの状態にマッピングされていない、外部で観測された、またはライセンスされているデプロイメント。
- 証拠カバレッジ:調査期間のうち、必要なログとテレメトリが存在する部分。
- 継続性パフォーマンス:実際の中断時間、代替手段の起動時間、維持された重要機能。
これらの指標は、ベンダーの迅速なリリースが下流の負担を覆い隠すことを防ぎ、顧客のインストール成功が欠落した証拠を覆い隠すことを防ぎます。また、調達にも役立ちます。機械可読なアラートと優れた検出サポートにより、数時間で確実にアップグレードできるプラットフォームは、週末に特注の作業を必要とするプラットフォームとは異なるライフサイクルコストを課します。
これらの指標は、安全なダウンタイムを選択したチームを罰するために使用されるべきではありません。未認証 RCE が露出したままである間に、可用性のみを称賛するパフォーマンス目標は、誤った行動を生み出します。計画的な隔離は、代替手段が制御不能な侵害である場合、コントロールの成功です。品質の問いは、中断が予期され、承認され、伝達され、テスト済みの目標内で復旧されたかどうかです。
記録が証明すること、そして証明しないこと
公的な記録は、いくつかの確信度の高い調査結果を支持しています。CVE-2022-26134 は、Confluence Server および Data Center における深刻な未認証リモートコード実行でした。Atlassian Cloud は影響を受けませんでした。悪用は一般への開示前に発生していました。Volexity は 5 月 31 日に Atlassian に通知しました。Atlassian は 6 月 2 日にアドバイザリーを、6 月 3 日に修正バージョンを公開しました。CISA はこの脆弱性を KEV に掲載し、6 月 6 日を期限としました。公の悪用は急速に拡大しました。このインシデント固有の修正には、ローリングアップグレードではなくダウンタイムが必要でした。パッチは、顧客が既に侵害されていたかどうかを判断できませんでした。
他の結論には抑制が必要です。この記録は、脆弱な組織、侵害の成功、データ損失、または停止の検証済みの世界的な数を提供していません。Unit 42 の 19,707 という数字は、影響を受ける可能性のあるインターネット可視サーバーを表しており、確認された被害者ではありません。DIVD の通知は、特定された脆弱なインスタンスを表しており、必ずしも一意の企業や悪用されたホストではありません。GreyNoise は、そのセンサーネットワークで確認されたリクエストを測定したものであり、すべての Confluence サーバーに対する攻撃ではありません。
また、この記録は、Atlassian がいつ最初にこの欠陥を合理的に発見できたか、なぜこれがリリース前の管理策をすり抜けたか、特定の以前のテストが確実に発見しただろうか、またはどのような内部的な是正措置が完了したか、を立証するものではありません。影響を受けるバージョンの履歴は、根本原因調査の代わりにはなりません。また、顧客による迅速なパッチ適用は、パッチ前にデータがアクセスされなかったことを証明するものでもありません。
2022 年に日常的に悪用された脆弱性に関する合同アドバイザリーは、この脆弱性の継続的な脅威としての妥当性を確認しています。これは、パッチ未適用のすべてのインスタンスが侵害されたわけではないことを証明するものではありません。これらの限界に対する正確さは、それ自体のための慎重さではありません。アカウンタビリティを、見出しの算術ではなく証拠に結びつけ続けるものです。
アカウンタビリティの結論
Atlassian の CVE-2022-26134 に対する緊急対応は、一般市民が測定できる側面において、実質的に強力でした:迅速な確認、迅速な警告、活発な悪用を示す表現、メンテナンス対象ブランチ全体にわたる修正リリース、暫定的な緩和策、更新ログ、Cloud の範囲特定、サポートガイダンス。最も重要な未解決のベンダー側の問いは、ライフサイクルのより早い段階にあります。公の記録は、予防的統制の失敗を説明しておらず、インシデント後のセキュア開発の変更の深さを評価するのに十分な証拠を提供していません。
顧客は、隠れた欠陥に対しては制御できませんでしたが、コラボレーションサーバーがインターネットに面しているか、過剰な権限で動作しているか、サポートされていないか、現在の所有者がいるか、永続的な証拠を生み出しているか、重要な運用手順を失うことなく停止できるか、を制御していました。これらの管理策が、ベンダーの欠陥が短い管理された中断となるか、証明不可能な露出となるか、より広範な侵害となるかを決定しました。
中小企業にとって、この事象は内部的な問題と同様に、市場設計の問題も露呈しています。パッチはすべての顧客が利用可能でしたが、それを安全に消費する能力は不平等でした。責任あるベンダーとパートナーエコシステムは、摩擦の少ないアップグレード、実用的な通知、サポートされた緩和策、検出ガイダンス、明確なサービスプロバイダーの義務を通じて、このギャップを縮小すべきです。責任ある顧客は、管理に伴うメンテナンスとインシデント作業の予算を確保せずに、自己管理型の管理を購入すべきではありません。
最終的なテストは単純です:パッチが出荷された後、誰が次に何が起こったかを証明できたか?Atlassian は、何を修正し、いつ修正をリリースしたかを証明できました。どのようなシステムが存在したか、いつそれらが隔離されたか、攻撃者が侵入していたか、どのビジネス機能が中断されたか、そしてなぜサービスを復旧しても安全だったのか、を証明できたのは各顧客だけでした。リスクはその証拠のギャップに存続しました。このギャップを埋めることこそが、アカウンタビリティの真の作業です。

